Søg i indhold på sitet Søg i afgørelser

Det finansielle ankenævn behandler klager fra private kunder over pengeinstitutter, realkreditinstitutter og investeringsfonde.

English

Kontakt

Amaliegade 7, 1256 København K
info@fanke.dk
+45 35 43 63 33
EN
Klag

Afgørelse

Indsigelse mod at hæfte for misbrug af betalingskort i forbin-delse med phishing.

Sagsnummer: 193/2021
Dato: 04-03-2022
Ankenævn: Vibeke Rønne, Christina B. Konge, Jimmy Bak, Jacob Ruben Hansen, Anna Marie Schou Ringive.
Klageemne: Betalingstjenester - spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Ledetekst: Indsigelse mod at hæfte for misbrug af betalingskort i forbin-delse med phishing.
Indklagede: Coop Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører en indsigelse mod at hæfte for misbrug af betalingskort i forbindelse med phishing.

Sagens omstændigheder

Klageren var kunde i Coop Bank, hvor han havde et MasterCard.

Den 2. februar 2021 blev klagerens betalingskort anvendt til to betalinger til to udenlandske rejseselskaber, F1 og F2, på henholdsvis 625,49 euro (4.707,47 kroner) og 630,49 euro (4.745,09 kroner), i alt 9.452,56 kroner, som klageren ikke kunne vedkende sig.

Om baggrunden for transaktionerne har klageren oplyst, at han den 26. januar 2021 fik besked om, at han ville modtage en pakke fra sin familie i Norge. Den 28. januar 2021 modtog klageren besked om, at pakken var til toldbehandling. Den 31. januar 2021 modtog han en e-mail fra et postfirma, P, hvor han blev oplyst om, at hans pakke ventede på levering, og hvor han blev bedt om at betale porto på 27,27 kroner. Klageren forsøgte at betale portoen med sit betalingskort to gange, men betalingerne gik ikke igennem.

Samme dag opdagede klageren, at de to beløb på 4.707,47 kroner og 4.745,09 kroner var hævet fra hans konto, og han spærrede sit betalingskort og sit NemID.

Klageren fremsatte en indsigelse mod transaktionerne over for banken.

Den 6. april 2021 afviste banken klagerens indsigelse og anførte følgende:

”Tak for det tilsendte. Jeg har nu gennemgået den fremsendte dokumentation, og hvis jeg kigger i de mails, som du har modtaget særligt vedrørende levering og mulighederne for at følge og spore din pakke, at pakken bliver sendt via [postfirma, B] og ikke [P].

Efter min opfattelse har du således ikke været i ”god tro”, når du har trykket på linket i den mail, som lignede at være fra [P]. Medmindre du har andre mails eller andet, der indikerer, at du afventede en pakke via [P], så er vi desværre nød til at fastholde, at du har været uforsigtig omkring dine kortoplysninger m.v., og at vi derfor kan opkræve 8.000 kr. i selvrisiko i henhold til brugerreglerne for dit kort.

Du er velkommen til at skrive til mig, hvis ovenstående giver anledning til spørgsmål eller bemærkninger."

Den 1. marts 2021 overførte banken 1.452,56 kroner til klageren.

Banken har oplyst, at betalingerne med klagerens betalingskort blev foretaget med sikkerhedsløsningen 3D Secure, idet betalingerne var godkendt i klagerens NemID-nøgleapp.

Banken har fremlagt en e-mail vedrørende betalingerne fra Nets, hvor det blandt andet fremgår:

”Beløb: 630,49 EUR
Dato og tid: 31-01-2021 kl 19:57
Valideret med: NemID app
IP adresse: Desværre ikke muligt at se på denne transaktion.

Beløb: 625,49 EUR
Dato og tid: 31-01-2021 kl 20:05
Valideret med: NemID app
IP adresse: Desværre ikke muligt at se på denne transaktion.

Informationer omkring NemID Nøgleapp serienummer, enheder installeret på, hændelseslog m.m. kan vi ikke svare på herfra.”

Banken har fremlagt sine Kortbestemmelser for MasterCard Kredit, hvor det af afsnit 2.10 blandt andet fremgår:

”Dit ansvar ved misbrug af kortet

2.10.1 I tilfælde af, at kortet har været misbrugt af en anden person vil Coop Bank dække tabet, medmindre tabet er omfattet af punkt 2.10.2- 2.10.6. Det er Coop Bank, der skal bevise, at tabet er omfattet af punkt 2.10.2 - 2.10.6.

2.10.2 Hvis kortet og den personlige sikkerhedsforanstaltning er blevet misbrugt af en anden person, skal du dække tab op til 375 kr. Du skal højst betale 375 kr. i alt, hvis flere af dine kort med samme den personlige sikkerhedsforanstaltning bliver misbrugt i forbindelse med den samme hændelse. Det forudsætter dog, at alle kort er spærret samtidigt.

2.10.3 Du skal dække tab op til 8.000 kr. i tilfælde af, at kortet har været misbrugt af en anden person og der har været anvendt en personlig sikkerhedsforanstaltning, og

− du har undladt at underrette Coop Bank snarest muligt efter at have fået kendskab til, at kortet er bortkommet, eller at uberettigede har fået kendskab til koden,

− du med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden du indså eller burde have indset, at der var risiko for misbrug eller

− du ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.”

Parternes påstande

Den 21. april 2021 har klageren indbragt sagen for Ankenævnet med påstand om, at Coop Bank skal tilbageføre 8.000 kroner til hans konto.

Coop Bank har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at han handlede i god tro og ikke godkendte transaktionerne i NemID-nøgleappen.

Afgørelsen banken har truffet er ikke korrekt. Han er blevet hacket og kan ikke vedkende sig de transaktioner, der er foretaget. Han forsøgte to gange at betale de 27,27 kroner via linket i e-mailen fra P med sit MasterCard, men betalingerne gik ikke igennem. Han har hverken set navnet på F1, F2 eller de pågældende beløb i processen, ligesom han ikke godkendte med NemID. Han så alene P’s navn. For at være på den sikre side spærrede han straks sit MasterCard og sit NemID, selvom han ikke havde brugt det.

Da han fik e-mailen fra P den 31. januar 2021, troede han, at den vedrørte pakken fra Norge. Han handlede i god tro, da han trykkede på linket i e-mailen, da der var sammenfald mellem leveringen fra Norge og e-mailen fra P. Han kender ikke til postfirmaet B, hvem der opkræver told, og hvordan pakker kommer fra Norge til Danmark. Efter hans opfattelse var der en hel klar sammenhæng mellem den pakke, de ventede på fra familien i Norge, og den falske e-mail fra P. Tidsmæssigt passede det fuldstændigt.

Banken burde hæfte for det fulde beløb som følge af misbruget af hans betalingskort.

Coop Bank har anført, at klageren har udvist groft uansvarlig adfærd i henhold til betalingslovens § 100, stk. 4, nr. 3, ved i første omgang at klikke på den modtagne e-mail og efterfølgende ved at godkende de to betalinger under omstændigheder, hvor det var tydeligt for klageren, at der ikke var tale om betaling til P, og hvor det var tydeligt, at beløbet væsentligt oversteg det beløb, som klageren troede, han godkendte.

Klageren modtog den 31. januar 2021 en e-mail, som så ud til at være fra P. Klageren klikkede på e-mailen og blev formentlig viderestillet til en betalingsside, hvor han indtastede sit kortnummer med videre. Klageren godkendte i den forbindelse de to betalinger med NemID.

Både beløb og betalingsmodtager har været tydelig for klageren i forbindelse med hans godkendelse af transaktionerne. Det skal på baggrund af de fremlagte bilag fra Nets lægges til grund, at klageren godkendte begge transaktioner i sin NemID-nøgleapp, herunder at butik og beløb var synlig for klageren i forbindelse med godkendelsen.

Klageren har ikke været udsat for et stresset forløb, og han har således handlet groft uagtsomt ved, på trods af teksten i forbindelse med godkendelse, alligevel at godkende de to transaktioner.

Hertil kommer, at klageren allerede ved modtagelsen af e-mailen, der lignede at være fra P, burde have undladt at klikke i denne, da klageren tydeligvis ikke afventede en pakke fra P, men derimod fra et andet postfirma.

Ankenævnets bemærkninger

Den 2. februar 2021 blev klagerens betalingskort anvendt til to betalinger til to udenlandske rejseselskaber, F1 og F2, på henholdsvis 625,49 euro (4.707,47 kroner) og 630,49 euro (4.745,09 kroner), i alt 9.452,56 kroner, som klageren ikke kunne vedkende sig.

Om baggrunden for transaktionerne har klageren oplyst, at han den 26. januar 2021 fik besked om, at han ville modtage en pakke fra sin familie i Norge. Den 28. januar 2021 modtog klageren besked om, at pakken var til toldbehandling. Den 31. januar 2021 modtog han en e-mail fra et postfirma, P, hvor han blev oplyst om, at hans pakke ventede på levering, og hvor han blev bedt om at betale porto på 27,27 kroner. Klageren forsøgte at betale portoen med sit betalingskort to gange, men betalingerne gik ikke igennem.

Banken har oplyst, at de omtvistede betalinger med klagerens betalingskort blev foretaget med sikkerhedsløsningen 3D Secure ved godkendelse i NemID-nøgleapp.

Ankenævnet lægger til grund, at betalingstransaktionerne er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. lov om betalinger § 98. Efter bestemmelsens stk. 2, er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. lov om betalinger § 93.

Klageren har anført, at han ikke godkendte betalingerne til F1 og F2. Banken har bestridt dette.

Ankenævnet finder, at transaktionerne skyldes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens NemID var en personlig sikkerhedsforanstaltning til kortet, jf. betalingslovens § 7, nr. 31. Ved transaktionerne blev der anvendt stærk kundeautentifikation, jf. betalingslovens § 7, nr. 30.

Efter betalingslovens § 100, stk. 4, nr. 2 og 3, hæfter betaleren med op til 8.000 kroner af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5, eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Tre medlemmer – Vibeke Rønne, Christina B. Konge og Jimmy Bak - udtaler:

Klageren har anført, at han ikke godkendte transaktionerne på 625,49 euro og 630,49 euro til F1 og F2. Banken har anført, at klageren godkendte transaktionerne i sin NemID-nøgleapp.

Vi finder, at en afklaring af sagens nærmere omstændigheder vil forudsætte en bevisførelse i form af parts- og vidneforklaringer, som ikke kan ske for Ankenævnet, men som i givet fald må finde sted for domstolene, jævnfør § 5, stk. 3, nr. 4, i Ankenævnets vedtægter.

Vi stemmer derfor for, at klagen afvises.

To medlemmer – Jacob Ruben Hansen og Anna Marie Schou Ringive – udtaler:

Som nævnt ovenfor finder Ankenævnet, at der er tale om svindel fra tredjemands side.

Vi finder ikke, at klageren har udvist groft uforsvarlig adfærd, idet der må være tale om systemfejl, når beløbene blev trukket fra klagerens konto trods klagerens manglende godkendelse. Banken har dermed ikke godtgjort, at betingelserne for, at klageren hæfter efter de udvidede ansvarsbestemmelser i betalingslovens § 100, stk. 4, er opfyldt.

Vi stemmer derfor for, at klageren får medhold i klagen.

Der træffes afgørelse efter stemmeflertallet.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.